解决隐患 Google修正Desktop Search

    【IT168 软件资讯】 国外消息报道，上周，以色列的安全研究人员吉伦在一份报告中表示，他已经发现了一种联合利用IE中缺陷和Google Desktop Search（相关文章：最新：Google桌面搜索2中文测试版来了）入侵Windows PC，并窃取个人资料的方法。

    吉伦在网志中说，IE处理CSS（层叠样式表）的方式中存在缺陷。吉伦说，他创建了一个测试性网页，当在运行有Google Desktop的计算机上的IE中浏览该网页时，使得他能够搜索计算机上的密码。吉伦表示，IE（相关文章：TLSv1代替SSLv2 IE7加密技术更加强大）中的该缺陷能够使黑客从用户的计算机上窃取机密信息。

    Google已经修正了其Desktop Search服务，使得宏观世界不再能够被用来发动远程攻击。加特纳的调研副总裁麦克唐纳说，尽管IE是该缺陷的罪魁祸首，Google修改Desktop Search使得它不再能够通过IE中的缺陷被远程访问是一种负责任的行为。这将使Desktop Search用户在微软解决这一问题前得到保护。

    麦克唐纳表示，由于微软和Google正在激烈争夺桌面搜索市场，负面公共形象对Google是有害的。Google没有将问题一古脑儿地推给IE，而是直接在自己的产品中修正了这一问题。他说，只要IE中的这一缺陷仍然存在，这仍然可能使其它产品受到基于CSS的攻击。麦克唐纳说，Google能够迅速地解决这一问题，因为它不要求修改用户台式机上的任何代码。Google对其主网站实施了更严格的安全控制。这一紧急事件引发了有关Google作为桌面软件厂商和未来发布补丁软件计划的重要问题，他表示，由于Google也将发布最终用户软件，它必须遵守与其它桌面软件相同的标准。

    Sophos的高级技术顾问克鲁利称，如果Google已经修正了该问题，使得它不会再受到攻击，这是一个好消息。但是，安全研究人员应当与产品中被发现有缺陷的厂商合作，在厂商发布补丁软件后再披露缺陷的详细资料。